1    方案背景與目標

根據《中華人民共和國網(wǎng)絡(luò )安全法》及公安部《信息安全等級保護管理辦法》等相關(guān)標準規范，以及煉化公司2017年9月下發(fā)的《中國石油煉化企業(yè)工業(yè)控制系統信息安全等級保護及定級指導意見(jiàn)》和煉化板塊2022年工信息化管理的要求，促進(jìn)煉油化工總廠(chǎng)的網(wǎng)絡(luò )安全發(fā)展，夯實(shí)等級保護作為國家信息安全國策的成果，依據國家等級保護相關(guān)標準并結合廠(chǎng)站系統的實(shí)際情況，根據測評過(guò)程中發(fā)現的安全問(wèn)題，結合某某油田分公司煉油化工總廠(chǎng)網(wǎng)絡(luò )安全建設的具體情況，提出網(wǎng)絡(luò )安全建設工作的整改建議，從而提升信息系統的安全防護能力。

落實(shí)《關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》和《關(guān)于開(kāi)展網(wǎng)絡(luò )系統安全等級保護基礎調查工作的通知》，實(shí)施符合國家標準的安全等級保護體系建設，重點(diǎn)確保中國石油天然氣股份有限公司某某油田分公司煉油化工總廠(chǎng)的業(yè)務(wù)信息資產(chǎn)的安全性，從而使重要網(wǎng)絡(luò )系統的安全威脅最小化，達到中國石油天然氣股份有限公司某某油田分公司煉油化工總廠(chǎng)信息安全投入的最優(yōu)化。同時(shí)滿(mǎn)足國家、網(wǎng)信辦、公安對信息化建設的相關(guān)要求。在此設計中實(shí)現如下總體安全目標：

（1）通過(guò)信息安全需求分析，判斷中國石油天然氣股份有限公司某某油田分公司煉油化工總廠(chǎng)網(wǎng)絡(luò )系統的安全保護現狀與國家等級保護基本要求之間的差距，確定安全需求，然后根據網(wǎng)絡(luò )系統的劃分情況、網(wǎng)絡(luò )系統定級情況、網(wǎng)絡(luò )系統承載業(yè)務(wù)情況和安全需求等，設計合理的、滿(mǎn)足等級保護要求的總體安全方案，并制定出安全實(shí)施規劃，以指導后續的網(wǎng)絡(luò )系統安全建設工程實(shí)施。

（2）達到公安部關(guān)于網(wǎng)絡(luò )系統安全等級保護相關(guān)要求。

（3）達到網(wǎng)信辦關(guān)于重要網(wǎng)絡(luò )系統安全保障的要求。

2 方案詳細介紹

2.1互聯(lián)網(wǎng)出口邊界隔離

在互聯(lián)網(wǎng)出口部署防火墻，實(shí)現訪(fǎng)問(wèn)控制及對來(lái)自外部的攻擊行為進(jìn)行檢測、阻斷，對進(jìn)出網(wǎng)絡(luò )的所有流量和連接進(jìn)行實(shí)時(shí)檢測監控，審核不同網(wǎng)絡(luò )或區域之間的訪(fǎng)問(wèn)請求，實(shí)時(shí)基于會(huì )話(huà)狀態(tài)檢測訪(fǎng)問(wèn)控制機制，確保只有合法的訪(fǎng)問(wèn)才能通過(guò)，保護網(wǎng)絡(luò )中尤其是重要服務(wù)器系統不受來(lái)自外部網(wǎng)絡(luò )或非可信用戶(hù)的非法訪(fǎng)問(wèn)，保障整個(gè)網(wǎng)絡(luò )及內部各類(lèi)業(yè)務(wù)系統的安全穩定運行。同時(shí)防火墻具備入侵防御和防病毒及應用管控等功能，實(shí)現對應用層的攻擊防范和流量管控。

2.2區域邊界流量安全

2.2.1工業(yè)安全審計

在各DCS系統核心交換機部署工業(yè)審計系統對網(wǎng)絡(luò )進(jìn)行深度檢測，基于威脅特征庫實(shí)時(shí)檢測來(lái)自?xún)炔亢屯獠康母鞣N攻擊行為，實(shí)時(shí)檢測網(wǎng)絡(luò )流量中隱藏的病毒、蠕蟲(chóng)、木馬溢出攻擊和漏洞攻擊等惡意行為。對不合規行為進(jìn)行實(shí)時(shí)的告警，留存網(wǎng)絡(luò )數據，對溯源分析提供依據，利用黑名單、白名單、自定義規則等多種安全策略，通過(guò)內置的工控協(xié)議（如Modbus、OPC、IEC104、Ethernet/IP等）深度解析引擎，實(shí)時(shí)監測工控網(wǎng)絡(luò )中違規行為、異常流量和不明設備接入，可實(shí)時(shí)全面掌握工控網(wǎng)絡(luò )安全運行狀況。

2.2.2高級威脅檢測系統

通過(guò)對網(wǎng)絡(luò )內全流量的采集，實(shí)現未知威脅和高級威脅的精準發(fā)現和檢測。

高級威脅檢測系統基于大數據平臺，聚焦于高級威脅和未知威脅檢測兩大客戶(hù)痛點(diǎn)，實(shí)現威脅檢測、資產(chǎn)發(fā)現、朔源取證、攻擊場(chǎng)景還原、威脅處置及智能防御。幫助用戶(hù)看見(jiàn)全部資產(chǎn)，看清全部行為、看到全部威脅、看懂全部攻擊。

2.3網(wǎng)絡(luò )空間安全管理

2.3.1工業(yè)級輕量級態(tài)勢感知

通過(guò)部署工業(yè)安全監管平臺，對所有工控安全設備進(jìn)行統一管理。實(shí)現設備資產(chǎn)管理、自動(dòng)生成拓撲、設備運行狀態(tài)監控、統一配置下發(fā)安全策略，安全設備的日志統一收集呈現等。實(shí)現日志統一手機，留存6個(gè)月以上。

2.3.2工業(yè)運維網(wǎng)關(guān)

部署運維安全網(wǎng)關(guān)（堡壘機）實(shí)現對運維人員的操作行為進(jìn)行管控和記錄，通過(guò)設置嚴格的資源訪(fǎng)問(wèn)策略，并且采用強身份認證手段，全面保障系統資源的安全；并且詳細記錄用戶(hù)對資源的訪(fǎng)問(wèn)及操作，對用戶(hù)運維操作行為審計記錄。

2.3.3數據庫審計

在生產(chǎn)執行層部署數據庫審計，對數據庫用戶(hù)操作行為、操作語(yǔ)句進(jìn)行審計記錄，日志記錄存留期大于六個(gè)月。過(guò)解析端口鏡像過(guò)來(lái)的報文信息，記錄用戶(hù)訪(fǎng)問(wèn)數據庫行為的記錄、匯總分析所有的用戶(hù)操作行為，通過(guò)大數據分區搜索技術(shù)提供高效檢索審計記錄能力，快速定位事件原因，幫助用戶(hù)事后生成合規報告、提供有效電子取證信息，用于數據安全事故的追根溯源，實(shí)現加強內外部數據庫網(wǎng)絡(luò )行為的監控與審計，提高數據資產(chǎn)安全。

2.4計算機環(huán)境安全管控

2.4.1工業(yè)主機衛士

通過(guò)工控主機衛士解決工控業(yè)務(wù)系統終端安全加固、惡意攻擊防護、USB等外設防護和訪(fǎng)問(wèn)控制，實(shí)現最大程度地提高工控業(yè)務(wù)終端乃至生產(chǎn)網(wǎng)絡(luò )的安全性，對工控業(yè)務(wù)終端提供全方位的保護。

（1）終端安全加固在不需要經(jīng)常更新終端的補丁和病毒庫的基礎上，對工控業(yè)務(wù)系統終端提供額外的保護。

（2）工控業(yè)務(wù)系統終端軟件白名單從源頭上遏制了惡意代碼的運行。

（3）工控業(yè)務(wù)系統終端進(jìn)程網(wǎng)絡(luò )訪(fǎng)問(wèn)白名單確保終端中只有許可的進(jìn)程才能進(jìn)行許可的網(wǎng)絡(luò )訪(fǎng)問(wèn)，進(jìn)一步限制惡意代碼的感染和傳播。

（4）終端外設管理消除了病毒或惡意代碼通過(guò)終端外設進(jìn)入工控業(yè)務(wù)系統終端及生產(chǎn)網(wǎng)絡(luò )的可能性。

（5）終端接入控制確保了工業(yè)網(wǎng)絡(luò )的接入設備都是可信任的，確保惡意代碼和病毒不會(huì )通過(guò)局域網(wǎng)感染工業(yè)網(wǎng)絡(luò )。

（6）對組態(tài)軟件及配置的保護從根本上杜絕了惡意生產(chǎn)參數或指令下發(fā)到自動(dòng)控制設備，從而保證生產(chǎn)安全。

（7）終端身份認證確保終端只能由授權的人員進(jìn)行操作，消除惡意人員利用社會(huì )工程的方案破壞工控生產(chǎn)網(wǎng)絡(luò )。

2.5核心技術(shù)優(yōu)勢

2.5.1惡意加密流量人工智能檢測分析

近年來(lái)，工業(yè)互聯(lián)網(wǎng)的發(fā)展推動(dòng)傳統工業(yè)控制系統升級，但也增加了惡意攻擊風(fēng)險。攻擊多樣化、專(zhuān)業(yè)化和復雜化，威脅工控系統穩定。因此，我們聚焦于工控網(wǎng)絡(luò )惡意加密流量檢測技術(shù)。相比于傳統的IT系統安全問(wèn)題，工控系統安全存在顯著(zhù)差異。首先，工控系統的工業(yè)網(wǎng)絡(luò )環(huán)境更加復雜，涉及各種控制設備的通信協(xié)議和交互方式，這增加了安全防護的難度。其次，工控網(wǎng)絡(luò )安全的核心在于確保生產(chǎn)過(guò)程的穩定與可靠，對系統可用性的要求頗為嚴格。然而，相較于數據完整性和機密性的保護，其重視程度相對較低，這或將成為潛在安全風(fēng)險的誘因。由于工控系統與傳統IT系統的差異較大，傳統的入侵檢測解決方案無(wú)法直接應用于工控網(wǎng)絡(luò )環(huán)境，需要開(kāi)發(fā)專(zhuān)門(mén)的惡意加密流量監測技術(shù)來(lái)應對這些挑戰。因此，如何高效地檢測這些工業(yè)控制網(wǎng)絡(luò )中惡意攻擊成為亟待解決的問(wèn)題。

為了解決工業(yè)互聯(lián)網(wǎng)惡意攻擊行為檢測困難的問(wèn)題，我們研發(fā)出高級威脅檢測系統應用于本方案中，相較于傳統的安全技術(shù)依賴(lài)于靜態(tài)基于簽名的或基于列表的模式匹配技術(shù)，無(wú)法對許多零日和定向型威脅進(jìn)行監測。高級威脅檢測系統可以使用有監督機器學(xué)習融合模型和深度學(xué)習模型進(jìn)行流量監測，通過(guò)神經(jīng)網(wǎng)絡(luò )、機器學(xué)習、知識圖譜等人工智能技術(shù)對網(wǎng)絡(luò )流量的特征進(jìn)行提取、聚類(lèi)和建模，可以有效檢測出加密流量和惡意代碼的基因圖譜。類(lèi)似于人類(lèi)的DNA，無(wú)論外觀(guān)如何變化，也能夠精準和快速進(jìn)行識別。

2.5.2輕量級的工控系統終端智能管控技術(shù)

工控主機衛士基于A(yíng)I智能算法，開(kāi)發(fā)如白名單、惡意代碼入侵檢測、和外設安全防護技術(shù)等，支持進(jìn)程級白名單自學(xué)習算法，基于深度學(xué)習的惡意代碼網(wǎng)絡(luò )行為檢測技術(shù)和外設安全管控技術(shù)，應用于整個(gè)工控系統終端主機安全防護當中。

2.5.2.1白名單自學(xué)習

工控主機衛士通過(guò)機器學(xué)習的模式，全盤(pán)掃描，智能分析主機程序、進(jìn)程，對于可以進(jìn)程放置到隔離沙箱，保護主機的安全。對于偽造簽名和身份的“合法”訪(fǎng)問(wèn)的識別，利用AI算法等技術(shù)，建立白名單基線(xiàn)以及業(yè)務(wù)特性基線(xiàn)，對白名單再次驗證，同時(shí)對相應端口的流量、行為做安全監護，出現異常流量，行為突變時(shí)，及時(shí)告警處理。

2.5.2.2基于深度學(xué)習的惡意攻擊行為檢測

深度學(xué)習的惡意攻擊行為檢測能在內容、環(huán)境、應用層感知入侵，通過(guò)人工智能檢測技術(shù)對惡意代碼的主機行為和網(wǎng)絡(luò )行為進(jìn)行深入分析，對異常網(wǎng)絡(luò )行為進(jìn)行告警和阻斷。

2.5.2.3基于驅動(dòng)源智能識別的外設防護

針對主機USB、光驅、無(wú)線(xiàn)等設備的防護，利用驅動(dòng)級的過(guò)濾技術(shù)理能夠靈活控制和監控終端外設使用情況，比如控制終端的并口、串口、移動(dòng)存儲設備、藍牙、USB等外設的使用情況，能夠自動(dòng)收集主機曾經(jīng)使用過(guò)的USB設備的歷史記錄，并能夠單獨禁用無(wú)法確定其用途的USB設備，能夠通過(guò)對未知設備進(jìn)行自動(dòng)檢測和采樣，實(shí)現對未知和新增設備的有效控制和管理。

3 代表性及推廣價(jià)值

3.1 代表性

行業(yè)示范作用：石油天然氣行業(yè)在國民經(jīng)濟中占據重要地位，某某油田分公司作為行業(yè)內的重要企業(yè)，本方案工控等保建設的成功實(shí)踐可以為整個(gè)石油天然氣行業(yè)乃至其他工業(yè)領(lǐng)域提供可借鑒的范例和標準，為石油化工行業(yè)類(lèi)似應用場(chǎng)景做了成功示例，展示了如何在煉油化工總廠(chǎng)生產(chǎn)環(huán)境中構建有效的工控安全防護體系。

技術(shù)應用典型性：油田的工控系統通常涉及多種復雜的技術(shù)和設備，如分布式控制系統（DCS）、安全儀表系統（SIS）、數據采集與監控系統（SCADA）等。在本方案等保建設過(guò)程中，需要針對這些系統的特點(diǎn)和安全需求，采用相應的安全技術(shù)和產(chǎn)品，工業(yè)防火墻、高級威脅檢測系統、工業(yè)網(wǎng)絡(luò )審計系統、工業(yè)主機衛士等對這些技術(shù)的應用和集成，可以代表石油天然氣行業(yè)在工控安全技術(shù)應用方面的先進(jìn)水平和典型做法。

業(yè)務(wù)場(chǎng)景復雜性：在本方案的設計建設種涉及到大量的工業(yè)控制系統和數據交互。本方案充分考慮這些業(yè)務(wù)場(chǎng)景的復雜性，實(shí)現對不同環(huán)節和系統的安全防護和協(xié)同管理。本方案在某某油田分公司等保建設對業(yè)務(wù)場(chǎng)景的深入理解和安全解決方案的定制化，可以為其他企業(yè)在應對復雜業(yè)務(wù)環(huán)境下的工控安全問(wèn)題提供參考。

3.2 推廣性

針對中國石油天然氣股份有限公司某某油田分公司煉油化工總廠(chǎng)信息安全對工控安全背景及必要性，在此基礎上對標等保2.0的要求對工控網(wǎng)絡(luò )現狀及安全隱患進(jìn)行分析,從實(shí)際存在的安全隱患中考慮總體的工控安全防護管理策略及相應的技術(shù)管理手段。本方案按照油田工業(yè)控制系統安全防護的總體要求,遵循中國石油天然氣股份有限公司工業(yè)網(wǎng)絡(luò )"橫向分區、縱向分層、安全隔離、適度防護"的安全防護總體原則,建成敏捷、高效、安全的工控專(zhuān)網(wǎng),實(shí)現廠(chǎng)級工控安全防護體系，為用戶(hù)業(yè)務(wù)系統帶來(lái)持續保護的安全價(jià)值?？梢詾槭吞烊粴庑袠I(yè)的等保建設方案提供參考和示范。